公開日:2020/07/29 最終更新日:2020/07/29
JVNVU#96640421
Secomea 製 GateManager に複数の脆弱性
Secomea が提供する GateManager には、複数の脆弱性があります。
- GateManager 9.2c より前のバージョン
GateManager は Secomea 社が提供する VPN サーバです。GateManager には次の複数の脆弱性が存在します。
- NULL バイト もしくは NUL 文字の不適切な無効化 (CWE-158) - CVE-2020-14500
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 基本値: 10.0 - 境界条件の判定 (CWE-193) - CVE-2020-14508
CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 8.1 - ハードコードされた認証情報の使用 (CWE-798) - CVE-2020-14510
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8 - 強度が不十分なパスワードハッシュの使用 (CWE-916) - CVE-2020-14512
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 9.1
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 遠隔の第三者が負の値を送信し、任意のデータを上書きされる - CVE-2020-14500
- 遠隔の第三者が Off-by-one エラーを引き起こし、任意のコードを実行されたり、サービス妨害状態 (DoS) にされたりする - CVE-2020-14508
- Telnet の認証情報がハードコードされているため、管理者権限を持たない遠隔の第三者によって root 権限でコマンドを実行される - CVE-2020-14510
- 弱いハッシュアルゴリズムを使用しているため、遠隔の第三者によってユーザのパスワードを参照される - CVE-2020-14512
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
| ベンダ | リンク |
| Secomea | Downloads: GateManager |
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2020-14500 |
|
CVE-2020-14508 |
|
|
CVE-2020-14510 |
|
|
CVE-2020-14512 |
|
| JVN iPedia |
|
